問題タブ [antixsslibrary]

やあみんな！

私はasp.net mvc 3とAntiXssLibrary 4.2を使用しており、テキストを一重引用符または二重引用符でエンコードしようとしていますが、問題は ' "'または"の代わりに得られることであり、ヘブライ語では非常に便利です( øמב"םまたはצのように) 'ק)。このメソッドのヘブライ語とデフォルトのパラメーターに含まれていることを私は知っています:

すべてのエンコード方法を試してみましたが、期待どおりの結果は得られませんでした。

編集：

このようなhtml文字列をビューに配置しようとする2番目の問題について

レンダリングされたページではなく、すべてのhtml形式を取得します。問題は、MicrosoftがGetSafeHtml()メソッドをHtmlSanitizationLibraryアセンブリに移動することでした-この回答で見つけて、ここからダウンロードします。こんな感じで使えるようになりました

その後、もちろん参照を追加しました

今、私はそれらのクォートで立ち往生しています。

私の ASP.NET MVC 5 アプリでは、フォームからいくつかのデータを読み取り、バックエンドでアクション メソッドへの jQuery ajax 呼び出しを行って、それをデータベースに保存しています。

フォームに HTML タグを含むテキストを入力すると、HTML タグが原因でエラーが発生します。標準の「...潜在的に危険な...」エラーが表示されます。

GetSafeHtmlFragment() を使用してバックエンドでデータをサニタイズしていますが、データがアクション メソッドに到達するとすぐにエラーが生成されます。

jquery ajax 呼び出しなどのクライアント側スクリプトからアクション メソッドにデータを送信する正しい方法は何ですか? 最初に、たとえば JS イベント ハンドラーでデータを HTML エンコードしてから、アクション メソッドに送信しますか?

Microsoft の新しいバージョンのAntiXssライブラリを使用したいと考えています。Nuget パッケージからダウンロードしましたが、ここからどこに行けばよいかわかりません。ライブラリのドキュメントは提供されておらず、Web で見つけた記事はすべて古いものです。多くの変更があり、使用したいほとんどすべてがライブラリ自体で非推奨としてマークされているため、このライブラリを使用する最良の方法はどれでしょうか?

• これをデフォルトのエンコーダーにする必要がありますか?
• 使用するすべてのビュー Microsoft.Security.Application.AntiXss.HtmlEncode()などを変更する必要がありますか?
• 両方かな？

どんな助けでも大歓迎です。

プロジェクトにMicrosoft AntiXssライブラリを使用したいと考えています。この関数を使用Microsoft.Security.Application.Encoder.HtmlEncode(str)して Web ページに値を安全に表示すると、安全だと思われるペルシア語の文字がエンコードされます。たとえば、 に変換لیستされلیستます。間違った関数を使用していますか? ユーザー入力を自分のページに安全に印刷するにはどうすればよいですか?

私は現在、次のように使用しています。

<h2>@Encoder.HtmlEncode(ViewBag.UserInput)</h2>

私は AntiXSS (4.3.0) を使い始めたばかりで、主にここで@Encoder.JavaScriptEncode説明されているように使用します。

Nuget から AntiXSS をインストールし、Web.config に追加encoderType="Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"しました。<httpRuntime

私の見解では、次の行があります（<script>タグ内）：

私が出力することを期待するもの

代わりに出力します：

これは、Razor が HTML をサニタイズしようとしていて、単一引用符を としてエンコードしているためだと思います'。

解決策は、それを でラップすることですHtml.Raw()が、私がフォローしていた投稿では、彼はそれを決して行いません (代わりに、Javascript 内ですべてを一重引用符で囲みます)。

私の質問は - に電話する必要@Html.Raw(Encoder.JavaScriptEncode(data))があるのですか、それとも私の設定に何か問題がありますか?

ありがとう！

Asp.Net MVC Web サイトのデフォルト エンジンとして AntiXSS を使用しています。問題は、「رانما」のようなペルシア語の文字をエンコードすることです。私はセキュリティの専門家ではありませんが、これらの文字は問題なく、私の Web サイトに問題を引き起こすことはないと思います。それらをこのライブラリのホワイトリストに追加して、エンコードされた文字としてではなく正常にレンダリングできるようにすることができるかどうか疑問に思っていました. (上記と同じテキストを " راهنما" で表示)

非常に大規模な .Net 4.0 プロジェクトを確認し、XSS 攻撃を防ぐためにリファクタリングする必要があります。私が最初にしたことは、サイトをオンにrequestValidationすることでした。グローバルレベルで他にできることはありますか、それとも、すべてのページをトロールして、入力を検証し、出力を HTML エンコードするケースになるのでしょうか。

多くのページがあり、おそらく 300 の従来の ASP ページがまだ使用されています。

HtmlEncode() は安全に使用できますか、または Microsoft の AntiXSS パッケージをインストールする必要がありますか。